2. Firmy wykorzystujące terminale POS często nie zmieniają fabrycznych ustawień haseł zabezpieczających. Te same hasła obowiązują więc we wszystkich POS zainstalowanych w sklepie lub nawet sieci sklepów. Neal Krawetz prezentuje praktyczny przykład zagrożenia i prostą metodę uzyskania dostępu do danych w terminalach jednego z producentów przy wykorzystaniu hasła zapasowego, które ma z zasady umożliwić dostęp tylko w wypadku awarii hasła podstawowego.

3. Wiele modeli terminali nie wykorzystuje mechanizmów szyfrowania zapisywanych informacji. Ich producenci nie dostarczają szczegółowych informacji, w jaki sposób zarządzać hasłami, jeśli użytkownik chce zastosować bezpieczny, szyfrowany system plików.

W efekcie, "mechanizmy autentykacji można względnie łatwo ominąć, a wówczas uzyskuje się bezpośredni dostęp do informacji związanych z transakcjami finansowymi".

4. Podobne luki można znaleźć w serwerach zarządzających systemami POS. Zbierają i przetwarzają informacje z sieci terminali. Serwery te mogą zawierać dane dotyczące dziesiątków tysięcy lub nawet milionów kart i z reguły przechowują te informacje przez okres do 90 dni. Podobnie jak terminale POS, serwery te pracują zwykle pod kontrolą różnych wersji systemów Windows lub Linux i często są chronione tylko przez podstawowe mechanizmy autentykacji. Ich jedynym poważnym, choć nie zawsze stosowanym zabezpieczeniem jest restrykcyjne ograniczenie fizycznego dostępu do komputerów. W wielu praktycznych zastosowaniach najsłabszym elementem systemu jest sieć łącząca terminale POS z serwerami pozbawiona tak silnych mechanizmów ochrony dostępu do przesyłanych informacji, jak połączenia między firmą i bankiem.

Co warto wiedzieć o terminalach POS?

Neal Krawetz radzi, aby spytać producenta o to czy:

- dane przechowywane w terminalu są automatycznie kasowane w wypadku wyłączenia zasilania, a jeśli nie, to jak można je skasować ręcznie;

- informacje zapisywane w pamięci POS są szyfrowane;

- wewnętrzna pamięć terminala może być z niego łatwo wyjęta na zewnątrz;

- system wymusza na użytkowniku zmianę domyślnych haseł fabrycznych;

- urządzenia umożliwiają dostęp do danych przy wykorzystaniu haseł awaryjnych lub mają funkcje umożliwiające śledzenie ich aktywności przez odpowiednio zalogowanego użytkownika zewnętrznego.